27828
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Нам всем есть что рассказать о безумствах с точки зрения компьютерной безопасности. Но это тот случай, когда «hold my beer».
http://svedic.org/programming/mastercard-serbia-asked-ladies-to-share-fb-photos-of-among-other-things-their-credit-card
Mastercard Serbia сделал конкурс, в котором нужно шарить в соцсетях фотки своей банковской карты. (подсказка — так делать не стоит)
Не стоит потому, что для проведения успешной транзакции по банковской карте (aka снять денег) достаточно иметь её номер и срок действия.
Все эти CVV-коды, смс-ки от банка и прочие ухищрения можно отключить, если продавец захочет. Даже на поверхности документации платежных систем есть много очень интересных деталей. Я начинал с документации платежного гейта Braintreе, ну и дальше down the rabbit hole. Рекомендую, fintech — увлекательная сфера.
Полезный сайт про размеры экранов айфонов, вдруг у кого-то ещё нет его в закладках https://www.paintcodeapp.com/news/ultimate-guide-to-iphone-resolutions
Читать полностью…
Разблокировали через полтора часа, почему блокировали — не говорят (мол это помешает алгоритмам делать их работу). Неприятное чувство, похожее на то, когда менты тормозят и требуют документы без причины.
Ненавижу эти автоматизированные системы слежения и контроля. Особенно неприятно то, как они этой автоматизированностью гордятся: https://mailchimp.com/omnivore/
Пока весь мир следит за приключениями вируса-вымогателя (несколько часов назад создатели выпустили вторую версию, исправленную и дополненную), почти незаметно прошло появление нового качественного трояна для MacOS.
Хакеры взломали сайт популярной программы для сжатия видео Handbrake и заменили файл-инсталлятор, добавив к настоящей программе троян Proton.B. https://forum.handbrake.fr/viewtopic.php?f=33&t=36364
Это качественная малварь. Она как минимум отсылает атакующему все ваши пароли, включает кейлоггер и удалённый доступ к компьютеру. https://www.cybereason.com/labs-proton-b-what-this-mac-malware-actually-does/
Дорогие пользователи Макбуков - добро пожаловать в мир, где легко подцепить серьёзную бяку, а не только MacKeeper (это мусор, который сложно вычистить, но серьёзного вреда от него нет).
К сожалению, технически MacOS не особо защищённее Windows. Вся эта тема с вирусами - бизнес. Раньше пользователей маков было мало и разрабатывать малварь под MacOS было экономически не выгодно. Теперь это меняется. :(
Учитывая, что почти у всех редакторов Макбуки - это ещё одна головная боль для технических директоров медиа.
Кстати, самый безопасный персональный компьютер на данный момент - айпад. Если вы параноик - iPad со внешней клавиатурой - ваш выбор. (Только не все клавиатуры одинаковы, текст с некоторых легко перехватить удалённо :/)
Мораль: жить вредно, все умирают.
Про разворачивающуюся сейчас вирусную эпидемию: samat/крупный-вирус-вымогатель-8a16b2492ef2" rel="nofollow">https://medium.com/@samat/крупный-вирус-вымогатель-8a16b2492ef2
Читать полностью…
Помните, «кремлевские хакеры» ломали оппозиционеров через краденые смски?
«Коммерческие хакеры» начали использовать дыру под названием SMS в промышленных масштабах для опустошения банковских счетов законопослушных бюргеров. А значит, не далек день, когда мы перестанем пользоваться смсками для любых штук связанных с безопасностью. Наконец-то.
Чтобы вы не удивлялись, протокол GSM (2G) — 1987 года выпуска, контрольный протокол SS7 — 1975 (это не опечатка).
Учитывая, что нас уже больше 3 тысяч, я чувствую некоторую ответственность, так что вот социальная реклама: используйте Google Authenticator для получения одноразовых кодов, не смс. И включите 2-факторную аутентификацию, пароль слишком легко потерять.
Security advisory уже никого не удивишь — мы видели уязвимости в OpenSSL и в ядре Линукс, не говоря уже об Андроидах или Windows. Но как вам уязвимость в процессорах, которую можно эксплуатировать как локально так и удаленно?
Короче, Escalation of Privilege Advisory (Intel Corp.) — самый страшный заголовок, который можно себе представить. Статья с таким заголовком была опубликована 20 часов назад на официальном сайте Intel.
Intel не раскрывает подробностей (sorry, script kiddies, уже готовые ломать всех подряд), но предлагает firmware update и mitigation guide призванные обезопасить владельцев уязвимых процессоров.
Уязвимость затрагивает только серверную линейку процессоров Intel (Xeon), а точнее — программу Intel Active Management Technology (AMT), запускающуюся на отдельном ко-процессоре Intel Management Engine. Это такой компьютер-в-компьютере, который всегда включен и управляет материнским компьютером без ведома его операционной системы и уж тем более — пользователя. Технология нужна для больших серверных ферм, где настраивать каждый сервер руками слишком дорого.
Прикол в том, что эта штука а) проприетарная, так что никто не знает, как именно она работает и не содержит ли закладок (привет АНБ и боящиеся её русские вояки) б) её нельзя выключить, вообще никак.
Известный фрик (зачеркнуто) пророк (зачеркнуто) активист Ричард Столлман ещё 4 года назад бил тревогу, что эта технология — путь в ад и вот, наконец, первая уязвимость. Сколько таких zero-days хранятся в запасе у АНБ, принимавших участие в разработке этих технологий - можно только догадываться.
Изменение архитектуры проекта при масштабировании. Обратите внимание на отличающуюся конфигурацию палок и брёвен.
Читать полностью…
Чувак долго вопил, что у BBC очень тормозной сайт и год назад ему дали возможность попробовать переделать главную. Наконец, она уже почти в продакшене. Вот пост-представление и можно посмотреть demo. В минимальной версии сотня запросов на более чем полмегабайта превратились в 3 запроса в 39KB. Внутри стандартные приемы + хардкор вроде preact'а. У Джозефа объяснение такое, что «у всех мобилы + много дешевых телефонов и плохого интернета в Индии».
Для Россиян — я бы не сбрасывал со счетов китайские андроиды и московский 3G 👹, так что для нас это всё тоже актуально.
Мы в Медузе давно бьемся за производительность и скорость рендеринга, но нам есть куда расти (то есть ужиматься), работаем дальше.
В свежем релизе Gitlab теперь можно заводить почтовые адреса техподдержки, письма на которые автоматически создают issues. Все комментарии к ним отправляются баг-репортеру по почте.
Как же приятно видеть конкуренцию между этими тремя Github, Bitbucket и Gitlab - идеальная ситуация для рынка. Вот бы так во всех остальных областях. https://about.gitlab.com/2017/04/22/gitlab-9-1-released/#service-desk-eep
Стандартным решением для ящиков техподдержки, кажется, до сих пор является Zendesk. Мы в Медузе используем Google groups. Интересно, есть ли классные инструменты, не такие сложные как Zendesk и при этом более удобные, чем Google groups?
Работу технического директора можно описать, в том числе, как поддержку пользователей. Как внутренних — редакторов, дизайнеров, разработчиков, так и внешних — читателей, контрагентов, подрядчиков. Поэтому, user support истории мне очень близки.
Отличная история от Microsoft, поднимает настроение на весь оставшийся день (внутри пользователь пишет письмо Биллу Гейтсу, когда техподдержка его не устраивает): https://blogs.msdn.microsoft.com/oldnewthing/20170418-00/?p=95985
Небольшой рассказ, как дидосили Медузу 2 недели назад и пара советов для медиа в мире дидоса: https://dev.meduza.io/ddos-ab63424e595e
Читать полностью…
Душераздирающая статья про COBOL. Это такой язык программирования из 1960-70х, на котором написано некоторое число банковских систем, которые безумно дорого заменить на свежие. Теперь у директоров банков проблема - специалисты не то, чтобы на пенсии - оттуда ещё можно вытащить человека, предложив достаточно много денег; они умирают от старости. И история компании, которая специализируется на такого рода поддержке. Молодежью там называют сотрудников, которым по 40-50 лет. Какой разительный контраст со смузи-тусовкой.
http://mobile.reuters.com/article/technologyNews/idUSKBN17C0D8
Пронзительно романтичное описание романа между мужчиной и женщиной (и одновременно про приватность и шифрование в сети!)
От первой половины текста невозможно оторваться, это настоящая хорошая проза, редко встречается в блогах.
https://backchannel.com/love-in-the-time-of-cryptography-dd3a74193ffb
Доводить идею до абсурдного абсолюта - хороший способ её проверить. Есть некоторое число фильмов и книг, где люди в частности или человечество в целом записывает, помнит и может мгновенно вспомнить все. Все эти произведения - антиутопии.
Закончу цитатой из прекрасного рассказа о вечной памяти (правда, в разрезе копирайта), "Сенатор, вы когда-нибудь видели жизнерадостного слона?" http://royallib.com/read/robinson_spayder/gizn_korotka_avtorskoe_pravo.html#0
В слеке теперь можно шерить экран, о да! https://twitter.com/SlackHQ/status/864528371312500737
Читать полностью…
Хороший гайд по HTTP-заголовкам, ответственным за безопасность https://blog.appcanary.com/2017/http-security-headers.html
Читать полностью…
У Mailchimp (крупнейшая система рассылки писем) теперь модно блокировать аккаунт без причины и писать письмо в стиле «хотите узнать, почему вас заблокировали — напишите нам письмо». Имейте в виду, если отправляете через него рассылки (лучше пока, кажется, всё равно ничего нет :(.
Читать полностью…
Хорошая статья про сложность обновлений, в противовес моему утверждению «кто не обновился тот дурак»
Особенно тяжело обновлять медицинское оборудование — это то, что сейчас модно называть «интернет вещей». Они гарантированно работают в течении 5-10 лет в том виде, что их поставили. Причин две: 1. Часть из них не могут обновиться — у маленьких железок не хватит ресурсов; 2. Важные железки очень жестко тестируют, при этом любое обновление влечет необходимость дорогого и долгого повторного тестирования. Вы ведь не хотите, чтобы вдруг завис рентгеновский аппарат, в момент снятия снимка?
Я в бытность студентом работал сисадмином в биологической-генетической лаборатории. Единственная железка, которую я помню смог обновить — атомный микроскоп от JPK. Производитель выпустил «свежую» версию дистрибутива на Linux годовой давности. И это было очень круто, предыдущей версии было 4 года. Чтобы вы понимали — критичные обновления безопасности обычно выходят каждые 2-3 месяца.
У строителей под моим окном классическая «микросервисная архитектура приложения». У них есть 3 сервиса — полый бур, сверлящий дырку в земле, бетономешалка, не дающая бетону застыть и насос, закачивающий бетон из мешалки в отверстие, сверлимое буром.
Красным на картинке отмечены места, в которых один сервис «передает» бетон другому. Там должны быть подходящие отверстия, крепления и допустимое предельное давление бетона (чтобы это всё не разорвало) — это API. API — договоренности, по которым сервисы общаются друг с другом.
Допустим, можно было бы сделать убер-машину, которая умеет все — сверлить, качать и мешать. Засыпаете бетон, вставляете сверла и она делает вам готовые заполненные бетоном дырки — это была бы «монолитная архитектура приложений». Её было бы сложнее транспортировать по улицам и, наверное, ей нужен был бы очень крутой инженер для обслуживания.
В случае разделения машины на части мы можем выбрать разных производителей отдельных частей, достаточно, чтобы все они соблюдали стандарты и поэтому могли работать вместе.
Выпустили вчера залипальную игру на механике city/tower bloxx.
Прикол в том, что подрядчик, а проще говоря, парень, который нам её спрограммировал — не умеет писать код. Валера целиком собрал её в визуальном редакторе-движке Construct 2. Как хотите, но будущее уже наступило.
У больших качелей сняли люльку, но я видел её в продакшене, там все деревянное без верёвок.
Читать полностью…
Классная пятничная новость — мужчина из Литвы сфродил/сфишил 100 миллионов долларов, да ни у кого-то, а у Google и Facebook.
https://www.theguardian.com/technology/2017/apr/28/facebook-google-conned-100m-phishing-scheme
Самая большая дыра в безопасности всегда располагается между стулом и клавиатурой 😐
Не стал писать на этой неделе о многих интересные открытиях; все они у меня в Reading List, выложу на выходных.
iTunesConnect тихо выкатил крупное обновление, теперь можно тестировать несколько бета-версий одновременно. Пользователь может выбрать, какой билд он хочет установить.
Читать полностью…
Status — новый и очень красивый проект на основе Etherum.
Etherum — блокчейн платформа (на аналогичной штуке построен знаменитый Биткоин). Это базовая технология, которую можно использовать для создания децентрализованных продуктов и платформ — собственных крипто-валют, голосований, краудфандинговых систем. Главное отличие от обычных систем — отсутствие центрального сервера как источника истины, на который можно надавить. Демократия (может быть и охлократия, тут это не важно) в чистом виде.
Классно, что для создания этих штук не обязательно быть математиком 60lvl, все базовые алгоритмы уже запрограммированы, нужна идея, пользователи и довольно обычное программирование на основе библиотек Etherum.
Мессенджер Status, кроме возможности обменяться сообщениями и деньгами, даёт доступ к многим уже существующим продуктам на основе Etherum — к фриланс-бирже Ethlance, арт-рынку Ujo Music и обменникам криптовалют, например. И всё это доступно внутри мессенджер-интерфейса, в iOS приложении, с нормальным UI/UX!
Это первый мессенджер-бот-продукт, который не кажется мне притянутым за уши. Блокчейн-тусовка теперь состоит не из крипто-анархистов, а вполне респектабельных дядек в дорогих костюмах и стартаперов со смузи (и дизайнерами). Я очень надеюсь, что через пару лет мы увидим классный децентрализованный интернет.
Make the internet great AGAIN!
Bitbucket сделал редизайн, стало симпатичнее. После демократизации прайсинга github он уже не сильно дешевле, смысл экономить для бизнеса пропал. Но, зато, в отличие от github, bitbucket дает бесплатные приватные репозитории — удобно для личных проектов, которые не хочется светить всему миру.
Если ищете место для хостинга репозитория — не забудьте, что третий крупный игрок рынка — gitlab. У них тоже всё достаточно симпатично и сильно бесплатно.
Все вы, наверняка, видели эту картинку.
И на самом деле, операционисты Сбербанка не могут закрыть карточку, выданную другим отделением банка.
Сотрудники не хотят делиться этим знанием, но я сегодня узнал хак - они могут принять заявление, которое в течении 45 рабочих дней обработает отделение, выпустившее карту. Шах и мат, блокчейн.
Идея понятна - ситуация редкая, разумно сделать ручную обработку вместо полноценного программирования и интеграции.
Большая часть работы технаря - найти эту грань, когда пора перестать ставить заплатки и начать программировать.
Netflix год назад начал передавать видео в HTTPS. Подозреваю, что причина была "because we can", но маркетинг нам заливал про приватность. Так вот, чуваки идентифицируют Netflix-фильмы с точностью 99.9% по двум минутам TCP заголовков зашифрованного HTTPS потока. Оказалось, что, последовательность размеров сегментов VBR-сжатия уникальна для каждого видео.
Аналогия для не-компьютерщиков такая: вы подписаны на порно-журналы по почте. Они запакованы в непрозрачные конверты. Атакующий взвешивает каждый входящий конверт в течении 2-3 месяцев и по изменениям веса однозначно определяет ваши интересы. Мета-дата, сэр.
http://www.mjkranch.com/docs/CODASPY17_Kranch_Reed_IdentifyingHTTPSNetflix.pdf
В декабре 2012 года New Your Times выпустил Snow Fall http://www.nytimes.com/projects/2012/snow-fall/ — «лонгрид» со вставками видео и картинок.
Теперь дня не проходит, чтобы мы не увидели какой-нибудь новый «лонгрид» со scroll-hijack и вставками видео. Почти все знаковые рассказы в современных изданиях оформляются именно так.
Вчера NYT выпустил материал про экономику Убера и то, какие психологические приемы он применяет на водителях:
https://www.nytimes.com/interactive/2017/04/02/technology/uber-drivers-psychological-tricks.html
Они разработали движок симуляций убера, который переиспользуется в статье 4 раза. Читатель может играть с параметрами симулятора, переключая галочки и вбивая свои значения. То, что видят лишь избранные сотрудники UBER и некоторые ученые, теперь может посмотреть каждый.
Это — эпический материал с точки зрения выразительных средств.
NYT в очередной раз показал, куда нужно двигаться и задал нереально высокую планку.
Поверьте, через пару лет все приличные разъясняющие статьи на тему экономики будут именно такими.
Чат для взаимопомощи
/channel/ctodailychat
50*50 - это 2500, почти весь канал :)